Skip to main content
SnapCenter software
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Gerenciar autenticação multifator (MFA)

PDFs

Você pode gerenciar a funcionalidade de autenticação multifator (MFA) no servidor do Serviço de Federação do Active Directory (AD FS) e no SnapCenter Server.

Habilitar autenticação multifator (MFA)

Você pode habilitar a funcionalidade MFA para o SnapCenter Server usando comandos do PowerShell.

Sobre esta tarefa

  • O SnapCenter oferece suporte a logins baseados em SSO quando outros aplicativos são configurados no mesmo AD FS. Em determinadas configurações do AD FS, o SnapCenter pode exigir autenticação do usuário por motivos de segurança, dependendo da persistência da sessão do AD FS.

  • As informações sobre os parâmetros que podem ser usados com o cmdlet e suas descrições podem ser obtidas executando Get-Help command_name . Alternativamente, você também pode ver "Guia de referência do cmdlet do software SnapCenter" .

Antes de começar

  • O Serviço de Federação do Active Directory (AD FS) do Windows deve estar ativo e em execução no respectivo domínio.

  • Você deve ter um serviço de autenticação multifator compatível com AD FS, como Azure MFA, Cisco Duo e assim por diante.

  • O registro de data e hora do servidor SnapCenter e AD FS deve ser o mesmo, independentemente do fuso horário.

  • Obtenha e configure o certificado de CA autorizado para o SnapCenter Server.

    O Certificado CA é obrigatório pelos seguintes motivos:

    • Garante que as comunicações ADFS-F5 não sejam interrompidas porque os certificados autoassinados são exclusivos no nível do nó.

    • Garante que durante a atualização, o reparo ou a recuperação de desastres (DR) em uma configuração autônoma ou de alta disponibilidade, o certificado autoassinado não seja recriado, evitando assim a reconfiguração do MFA.

    • Garante resoluções IP-FQDN.

      Para obter informações sobre o certificado CA, consulte"Gerar arquivo CSR de certificado CA" .

Passos

  1. Conecte-se ao host dos Serviços de Federação do Active Directory (AD FS).

  2. Baixe o arquivo de metadados da federação do AD FS em"https://<host FQDN>/FederationMetadata/2007-06/FederationMetadata.xml".

  3. Copie o arquivo baixado para o SnapCenter Server para habilitar o recurso MFA.

  4. Efetue login no SnapCenter Server como usuário administrador do SnapCenter por meio do PowerShell.

  5. Usando a sessão do PowerShell, gere o arquivo de metadados do SnapCenter MFA usando o cmdlet New-SmMultifactorAuthenticationMetadata -path.

    O parâmetro path especifica o caminho para salvar o arquivo de metadados MFA no host do SnapCenter Server.

  6. Copie o arquivo gerado para o host do AD FS para configurar o SnapCenter como a entidade do cliente.

  7. Habilite o MFA para o SnapCenter Server usando o Set-SmMultiFactorAuthentication cmdlet.

  8. (Opcional) Verifique o status e as configurações da configuração do MFA usando Get-SmMultiFactorAuthentication cmdlet.

  9. Acesse o console de gerenciamento da Microsoft (MMC) e execute as seguintes etapas:

    1. Clique em Arquivo > Adicionar/Remover Snapin.

    2. Na janela Adicionar ou remover snap-ins, selecione Certificados e clique em Adicionar.

    3. Na janela do snap-in Certificados, selecione a opção Conta de computador e clique em Concluir.

    4. Clique em Console Root > Certificados – Computador local > Pessoal > Certificados.

    5. Clique com o botão direito do mouse no certificado CA vinculado ao SnapCenter e selecione Todas as tarefas > Gerenciar chaves privadas.

    6. No assistente de permissões, execute as seguintes etapas:

      1. Clique em Adicionar.

      2. Clique em Locais e selecione o host em questão (topo da hierarquia).

      3. Clique em OK na janela pop-up Locais.

      4. No campo de nome do objeto, digite 'IIS_IUSRS', clique em Verificar nomes e clique em OK.

        Se a verificação for bem-sucedida, clique em OK.

  10. No host do AD FS, abra o assistente de gerenciamento do AD FS e execute as seguintes etapas:

    1. Clique com o botão direito em Relying Party Trusts > Adicionar Relying Party Trust > Iniciar.

    2. Selecione a segunda opção, navegue pelo arquivo de metadados do SnapCenter MFA e clique em Avançar.

    3. Especifique um nome de exibição e clique em Avançar.

    4. Escolha uma política de controle de acesso conforme necessário e clique em Avançar.

    5. Selecione as configurações na próxima aba como padrão.

    6. Clique em Concluir.

      O SnapCenter agora é refletido como uma parte confiável com o nome de exibição fornecido.

  11. Selecione o nome e execute os seguintes passos:

    1. Clique em Editar política de emissão de reivindicações.

    2. Clique em Adicionar regra e clique em Avançar.

    3. Especifique um nome para a regra de reivindicação.

    4. Selecione Active Directory como o armazenamento de atributos.

    5. Selecione o atributo como User-Principal-Name e o tipo de declaração de saída como Name-ID.

    6. Clique em Concluir.

  12. Execute os seguintes comandos do PowerShell no servidor ADFS.

    Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -SigningCertificateRevocationCheck None

    Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -EncryptionCertificateRevocationCheck None

  13. Execute as seguintes etapas para confirmar se os metadados foram importados com sucesso.

    1. Clique com o botão direito do mouse na parte confiável e selecione Propriedades.

    2. Certifique-se de que os campos Endpoints, Identificadores e Assinatura estejam preenchidos.

  14. Feche todas as abas do navegador e abra-o novamente para limpar os cookies de sessão existentes ou ativos e faça login novamente.

A funcionalidade SnapCenter MFA também pode ser habilitada usando APIs REST.

Para obter informações sobre solução de problemas, consulte "Tentativas simultâneas de login em várias guias mostram erro de MFA" .

Atualizar metadados do AD FS MFA

Você deve atualizar os metadados do AD FS MFA no SnapCenter sempre que houver qualquer modificação no servidor AD FS, como atualização, renovação de certificado CA, DR e assim por diante.

Passos

  1. Baixe o arquivo de metadados da federação do AD FS em"https://<host FQDN>/FederationMetadata/2007-06/FederationMetadata.xml"

  2. Copie o arquivo baixado para o SnapCenter Server para atualizar a configuração do MFA.

  3. Atualize os metadados do AD FS no SnapCenter executando o seguinte cmdlet:

    Set-SmMultiFactorAuthentication -Path <location of ADFS MFA metadata xml file>

  4. Feche todas as abas do navegador e abra-o novamente para limpar os cookies de sessão existentes ou ativos e faça login novamente.

Atualizar metadados do SnapCenter MFA

Você deve atualizar os metadados do SnapCenter MFA no AD FS sempre que houver qualquer modificação no servidor ADFS, como reparo, renovação de certificado CA, DR e assim por diante.

Passos

  1. No host do AD FS, abra o assistente de gerenciamento do AD FS e execute as seguintes etapas:

    1. Selecione Relying Party Trusts.

    2. Clique com o botão direito do mouse na parte confiável que foi criada para o SnapCenter e selecione Excluir.

      O nome definido pelo usuário da parte confiável será exibido.

    3. Habilite a autenticação multifator (MFA).

      Ver "Habilitar autenticação multifator" .

  2. Feche todas as abas do navegador e abra-o novamente para limpar os cookies de sessão existentes ou ativos e faça login novamente.

Desativar autenticação multifator (MFA)

Passos

  1. Desabilite o MFA e limpe os arquivos de configuração que foram criados quando o MFA foi habilitado usando o Set-SmMultiFactorAuthentication cmdlet.

  2. Feche todas as abas do navegador e abra-o novamente para limpar os cookies de sessão existentes ou ativos e faça login novamente.